Wie die neuen Gesetze zum Umgang mit persönlichen Daten den Handlungsrahmen für Verantwortliche neu definieren
Zusammenfassung der wichtigsten Punkte:
- Daten wurden zu einem für Unternehmen – und für Konsumenten – kritischen Wirtschaftsgut.
- Von der Europäischen Union über die Vereinigten Staaten bis zur Volksrepublik China haben eine Reihe von Ländern strikte, rechtliche Vorschriften erlassen. Sie regulieren, wie Unternehmen persönliche Informationen erheben und verarbeiten dürfen.
- Diese neuen Gesetze betreffen nicht nur Data Scientists oder IT-Manager. Sie wirken sich vielmehr auf alle existierenden Geschäftsfelder und Aktivitäten in sämtlichen Branchen aus.
Oft werden Daten als “das neue Erdöl” bezeichnet. In den zurückliegenden Jahren haben Unternehmen und Organisationen mehr und mehr den Wert von Daten realisiert, über die sie verfügen – und dazu zählen auch Daten von Konsumenten. Und sie haben neue Wege gefunden, wie sie sie nutzen und wirtschaftlich von ihnen profitieren können. Das führte jedoch auch zu Bedenken, weil persönliche Daten oft auch missbraucht werden können: Konsumenten zögern immer mehr, ihre Daten weiterzugeben und die Politik schritt ein und formulierte spezifische Regeln. Die weltweite Durchsetzung dieser Datenschutzgesetze bringt neue Herausforderungen – aber auch neue Chancen – für Unternehmen mit sich.
Die Auswirkungen der entsprechenden Vorschriften auf Unternehmen aller Branchen sollten keinesfalls unterschätzt werden. Um die Herausforderungen zu bewältigen, wird es kaum genügen, einen Datenschutzbeauftragten einzustellen. Die Verantwortlichen müssen vielmehr eine ganze Reihe ihrer Strategien überprüfen und möglicherweise anpassen.
Die Datenschutz-Grundverordnung (DSGVO), eingeführt im Jahr 2016 in der Europäischen Union, war das erste umfassende Gesetz zum Datenschutz und zum Umgang mit persönlichen Daten. Vorrangiges Ziel der DSGVO war es, die Kontrolle und die Verfügungsgewalt des Einzelnen über seine/ihre persönlichen Daten und auch über den Transfer dieser Daten in Gebiete außerhalb der Europäischen Wirtschaftsgemeinschaft zu stärken.
Die europäische Datenschutzgrundverordnung ist als strengstes Datenschutzgesetz weltweit angelegt und basiert auf sieben grundlegenden Prinzipien:
- Rechtmäßigkeit, Fairness und Transparenz: Persönliche Daten müssen rechtmäßig, fair und transparent für denjenigen verarbeitet werden, von dem sie stammen.
- Beschränkung des Verarbeitungszwecks: Persönliche Daten dürfen nur für legitime Zwecke verarbeitet werden, die bei der Erhebung der Daten demjenigen, von dem sie stammen, detailliert erläutert werden.
- Datenminimierung: Daten dürfen nur im zur Erfüllung des angegebenen Zwecks absolut notwendigen Umfang verarbeitet werden.
- Freiheit von Fehlern: Persönliche Daten müssen jederzeit fehlerfrei und aktuell gehalten werden.
- Zeitlich begrenzte Speicherung: Identifizierbare, persönliche Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck notwendig ist.
- Integrität und Vertraulichkeit: Die Verarbeitung muss so erfolgen, dass ein angemessenes Sicherheitsniveau, Integrität und Vertraulichkeit gesichert sind (beispielsweise durch den Einsatz von Verschlüsselungstechnologien).
- Verantwortlichkeit: Der Zuständige für den Schutz der Daten ist dafür verantwortlich, dass die Einhaltung der DSGVO und aller genannten Prinzipien nachgewiesen werden kann.
Dieser Schritt der europäischen Behörden inspirierte andere Rechtssysteme, dem Beispiel zu folgen. Obwohl in den USA keine standardisierte Datenschutzrichtlinie auf Bundesebene existiert, haben einzelne Staaten wie Kalifornien, Virginia und Colorado kürzlich ihre eigene Gesetzgebung zum Datenschutz abgeschlossen. Sie erweitern damit die Rechte und den Schutz ihrer Bürger.
Der Gedanke, persönliche Daten zu schützen, wird mittlerweile selbst in China akzeptiert. Dort wurde jüngst ein Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL) verabschiedet, das strenge Richtlinien für die Übertragung von Daten ins Ausland enthält.
Diese neuen gesetzlichen Regelungen sollten ernstgenommen werden. Das zeigen Strafen von Hunderten Millionen Dollar oder Euro, mit denen Unternehmen wie Amazon oder Facebook aufgrund nicht gesetzeskonformer Verarbeitung und Speicherung persönlicher Daten belegt wurden.
Kurz gesagt, die DSGVO und ähnliche gesetzliche Regelungen wirken sich auf nahezu sämtliche Aktivitäten von Unternehmen aus.
Der Einfluss auf Lieferketten kann kaum überschätzt werden, da Unternehmen ihre Arbeitsweise bei der Weitergabe von Daten an externe Zulieferer, Unterauftragnehmer und Verteilungssysteme überprüfen und möglicherweise anpassen müssen.
Innovations- und Produktentwicklungsmanager müssen völlig neue Anforderungen berücksichtigen. Andernfalls könnten ihre Produkte auf einigen Märkten keine Akzeptanz mehr finden. Datenschutzgesetze haben faktisch die Einführung einer neuen Google Selfie-App in einigen US-Bundesstaaten verhindert.
Die neue Vorschrift, dass die Speicherung und Verarbeitung von Kundendaten dokumentiert werden muss, und dass Kunden die Möglichkeit haben müssen, dem zuzustimmen oder zu widersprechen, betrifft viele Werbe- und Marketingaktivitäten aber ebenso auch jedes Unternehmen, das Produkte, Services oder Inhalte online verkauft. Und das zu einer Zeit, in der sich eCommerce- und Marketingverantwortliche auf die bevorstehende Eliminierung von Drittanbieter-Cookies in Web Browsern vorbereiten.
Mitarbeitende müssen für neue Best Practices ausgebildet und trainiert werden. Und Unternehmen, die in speziellen Geschäftsfeldern aktiv sind (beispielsweise im Gesundheitswesen), müssen branchenspezifische Vorschriften einhalten, die noch höhere Anforderungen stellen.
Eine weitere, gravierende Auswirkung der Datenschutzvorschriften für Unternehmen aller Branchen auf der ganzen Welt sind wachsende Sorgen vor technologischen Risiken. Datenpannen oder -lecks verursachen jetzt neben finanziellen und betrieblichen Schäden auch schwerer wiegende, rechtliche und rufschädigende Konsequenzen. Entsprechend werden Technologieanbieter und Beratungsunternehmen immer mehr auch danach bewertet, ob sie Informationssicherheitsmanagement in zertifizierter Qualität anbieten können.
Allerdings bringen Datenschutzgesetze nicht nur Herausforderungen und Probleme mit sich. Sie können auch als neue Chance gesehen werden, das Datenmanagement und Kontrollmechanismen auf eine solidere Grundlage zu stellen. Datenrisiken lassen sich so besser einschätzen und reduzieren, IT und Datenarchitektur können optimiert werden. Das steigert die Effizienz im Unternehmen und spart Kosten.
Und nicht zuletzt können Unternehmen, die gesetzliche Vorgaben einhalten, damit auch mehr Vertrauen auf Kundenseite schaffen.
Sie suchen mehr Informationen über Projektmanagement und neue Technologien? Sehen Sie sich unserer Blogbeiträge an:
- So profitieren Unternehmen von ihrem Engagement in CSR und ESG
- Vorteile von Enterprise PPM in wirtschaftlich unsicheren Zeiten
- Was bedeutet Produktinnovation in Unternehmen?
Valerie Zeller
Valerie Zeller ist Chief Marketing Officer bei Sciforma. Valeries Hauptinteressen sind Digitale Transformation, Change Management und Strategieumsetzung. Teilen Sie Ihre Meinung mit @valeriezeller